Торификация jabber-клиента
Не могу найти, как торифицировать клиент jabber.
Я так понимаю, что в настройках надо прописать socks 5 – localhost:9050, или я не прав?
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
комментариев: 11558 документов: 1036 редакций: 4118
У меня Pidgin, там есть socks 4 и 5, я так понимаю, 4 не то же, что 4а, и надо указывать 5-й?
В настройках в его ГУЕ есть строки "домен" и "ресурс", когда в строке "домен" указываешь ip, не работает, только домен (у меня – jabber.org).
В строке ресурс я прописал ip, полученный через dig jabber.org (), правильно я сделал?
А указание домена – jabber.org, может деанонимизировать?
В UNIX ряд программ, особенно умных (тот же пинг), даже если и видят, что им даётся нечто, имеющее формат IP-адреса, всё равно отправляют запрос к DNS-серверу чтобы проверить, не доменное ли имя есть этот IP-адрес.
Да.
Должно работать. Я замечал такое: если доменное имя указано конвенционально, то логин должен/может быть указан как jid без собачки и домена:
username = username
server = jabber.domain
Если же домен указан как IP, то логин нужно писать как jid:
username = username@jabber.domain
server = SERVER_IP
Не имеет смысла. Ресурс – это некоторое "имя" проассоциированное с вашим джаббер-инстенсом. В случае, когда у вас одновременно запущены n джаббер-клиентов на одном и том же аккаунте, назначение различных "ресурсов" позволяет вашим корреспондентам отличать ваши инстэнсы и писать на тот, на какой они хотят. Полный формат таков: username@jabber.domain/resource
Потенциально да, т.к. время вашего выхода в онлайн всегда будет совпадать со временм соответствующего запроса к локальному DNS-серверу, что как минимум говорит о том какой jabber-сервер вы используете, и как максимум на основе корреляций позволяет сказать каков ваш настоящий jid.
комментариев: 11558 документов: 1036 редакций: 4118
Да. Socks4 ничего не знает о резолвинге имён, его должен выполнить клиент и передать socks-серверу IP-адрес (в случае Tor'а это означает утечку DNS-запросов к провайдеру). Socks5 может принимать как IP, так и DNS-имя, которое будет разрешено на стороне socks-сервера, но большинство реализаций не заморачиваются такими деталями и передают имя на сторону сервера только если не могут разрешить его на стороне клиента (но в некоторых случаях, как в Firefox, позволяют задать в настройках принудительное разрешение имён socks-сервером). Socks4a — это расширение протокола, которое резолвит имена только на стороне socks-сервера.
Этим Вы уже допустили утечку DNS-запроса к провайдеру. В составе Tor есть утилита tor-resolve, предназначенная для безопасного определения IP-адресов через сеть Tor.
Зависит от того, как Pidgin работает с socks5. Если по умолчанию он резолвит имена самостоятельно, а socks-серверу передаёт уже IP, то Ваш провайдер (и наблюдатель на линии связи) будет знать, что инициируемое через Tor соединение — это подключение к серверу jabber.org (а по характеру трафика будет ясно, что это jabber-сессия, а не обращение к веб-сайту jabber.org, например). В зависимости от Вашей модели угрозы такая утечка может и не представлять опасности. Решать Вам. Проверять наличие таких утечек проще всего сниффером: Вы увидете UDP-трафик на 53-й порт к DNS-серверам провайдера.
комментариев: 11558 документов: 1036 редакций: 4118
Верно, поэтому предложил в первом посте на всякий случай проверять протечки.
Долбаный pidgin не хочет так записывать, прописываешь таким образом, он вместо этого делает такую штуку:
username = username
server = @jabber.domain\SERVER_IP
Не знаю, как и бороться.
Спасибо за информацию, раньше не знал, и в некоторых случаях раздражало, что уходит запрос через провайдера. Буду пользовать!!!
А есть подобное в tor вместо whois?
По ману tor-resolve только
Например, сменой клиента на mcabber, который не страдает такой ветрянкой. Ещё можно обратиться к разработчикам pidgin или спросить на их форуме поддержки.
Вроде нет. Можно пользоваться веб-сервисами типа https://www.nic.ru/whois/. Или SSHиться на удалённую машину, а там уж пользоваться всем, чем угодно.
А чем не вариант
?
У mcabber'а тоже есть один неудобный для анонимности косяк: он не умеет скрывать то, что он mcabber (скрывать ОС умеет). Более оптимальным был бы клиент, умеющий подделываться под самый распространённый джаббер-клиент.
-это идет утечка dns-запросов моего жаббера через ipv6?
Что касается UDP (tcpdump|grep UDP), то среди них я вижу только netbios-пакеты виндовых компов и КПК, подключенных к сети, и такую гадость:
Причем только одну за длит. время (около часа)
При этом при выполнении команды ifconfig в sh-окружении роутера, ни один из интерфейсов его не поддерживает ipv6.
При таком раскладе может ли мне угрожать деанонимизацией включенное состояние моих модулей ipv6, или все-таки лучше их отключить в моей системе?
Ответ очевиден: запрещено должно быть всё, кроме того, что действительно нужно позволить. Если есть возможность, лучше отключить IPv6 всюду, включая ядро, но или хотя бы надёжно закрыть весь IPv6-трафик файерволлом.
PS: Не так давно, в 2007ом году сменилась главная страница http://www.openbsd.org на "Only two remote holes in the default install, in a heck of a long time!", в то время как было что-то типа "Only one remote hole in the default install, during more than 10 years". Ошибка была в IPv6-стэке: http://www.coresecurity.com/content/open-bsd-advisorie
Почему то, что считается очевидным требованием для обеспечения безопасности информационных систем вызывает у некоторых яростное неприятие при попытке применения этого же принципа для обеспечения безопасности государства?
[/offtop]
Потомучто люди – это не программы, которые по желанию можно изолировать в окружение jail или chroot без последствий для всей системы и их самих.
[/offtop]
комментариев: 1060 документов: 16 редакций: 32
Потому что последствия такого бездумного переноса правил работы информационных объектов на реальные и наоборот чаще оказывается плачевным как по основному, так и по побочным результатам. Например, вы как-то можете себе представить гласность("опенсорс") в работе спецслужб?
[/offtop]
Не очень удачный пример. Конкретные правила firewall'а конкретного узла тоже часто не обнародутся, хотя и opensource.
[/offtop]